Старый 22.09.2011, 23:32   #1
trashmail
 
Регистрация: 08.09.2011
Сообщений: 37
Репутация: -2
По умолчанию У вас когда-нибудь бывало подобное?

Короче, ломанул один жирный по показателям забугорный рес. С одной стороны очень необычно, с другой оч. тупо) я думую кроме меня его врятли кто поимел. Так вот. Права у меня были оч. ограничены, заливка была только в пару папок. Ну залил шельца туда. Повышать привелегии не брался пока из за времени. Так вот на следующий день (а ломал за ночь до этого) захожу на шелл, но хост не работает) Потом када заработал, шелла не было) что оч. странно. ведь время совсем мало прошло. Потом тем-же методом заливаю WSO опять, и думую попытаться порутать сервачёк (на один хост этот был) и прям на глазах шелл и папка где он был - исчезает. пздц) Ну в это время у меня работал ещё бэк коннет и залил опять в другие папки, переминовал и протачил так чтобы не заметели. и через минут 10. опять всё исчезло.Кроме того, папка где была уязвимость хитрая заблочена хтаксессом. короче вот так) Интервалы между различными заливками шелла были довольно разные). Кто там палит круглосуточно? - представить не могу)
Может какието соображение есть по этому поводу и советы? ктонить сталкивался с таким подобным?)
trashmail вне форума   Ответить с цитированием
Старый 22.09.2011, 23:40   #2
FIXER
 
Аватар для FIXER
 
Регистрация: 06.07.2010
Сообщений: 219
Репутация: 51
По умолчанию

бывало и хуже, есть паронидиальные одмины и есть скрипты которые с бэкапа все восстанавливают моментально)
FIXER вне форума   Ответить с цитированием
Старый 22.09.2011, 23:55   #3
p(eaZ
 
Регистрация: 07.07.2010
Сообщений: 33
Репутация: 29
По умолчанию

как вариант, скрипт отслеживающий новосозданные файлы с интервалом в 1-5 минут.
p(eaZ вне форума   Ответить с цитированием
Старый 23.09.2011, 00:12   #4
Jokester
 
Аватар для Jokester
 
Регистрация: 01.07.2010
Сообщений: 250
Репутация: 155
По умолчанию

Очень похоже на кластер. Я когда первый раз столкнулся - тоже не сразу понял что это за уличная магия
__________________
------------------
Jokester вне форума   Ответить с цитированием
Старый 23.09.2011, 03:35   #5
Nightmare
Banned
 
Регистрация: 06.07.2010
Сообщений: 162
Репутация: 10
По умолчанию

Ну одно дело пропалить новосозданный файл, это не сложно.
Совсем другое дело мгновенно найти уязвимость, через которую он был залит, особенно если она находится в POST запросе, вот это как?
Nightmare вне форума   Ответить с цитированием
Старый 23.09.2011, 05:41   #6
Tigger
 
Регистрация: 24.11.2010
Сообщений: 42
Репутация: 11
По умолчанию

IDS -> Автоматическое удаление вэбшелла -> Стук админу -> Анализ логов -> Фикс уязвимости.
Крон + чексум - отклонение от валид-базы -> Стук админу -> ...
Ну в прицепи вариантов не так мало.

Nightmare
POST возможно логировать.
Tigger вне форума   Ответить с цитированием
Старый 23.09.2011, 11:59   #7
snake
 
Регистрация: 05.07.2010
Сообщений: 173
Репутация: 12
По умолчанию

масса вариантов,конечно.
Может админ просто мониторит отдельный лог,в который пишутся подозрительные запросы.
tail -f opasnoste.log
не редко встречается.

Видимо рес не плох,раз следят.
snake вне форума   Ответить с цитированием
Старый 23.09.2011, 13:02   #8
tipsy
 
Аватар для tipsy
 
Регистрация: 11.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

На старых и крупных проектах при наличии хорошего администратора штатная работа скриптов не вызывает ошибок, поэтому ошибки пишутся максимально подробно, в том числе и с логгированием POST.
Найти и закрыть уязвимость по логам - вопрос нескольких часов.

Бывало и так - нашёл sqli уязвимость в POST, получил версию мускуля и решил докрутить утром - и хрен, с утра уже всё закрыто.
tipsy вне форума   Ответить с цитированием
Старый 23.09.2011, 13:15   #9
tipsy
 
Аватар для tipsy
 
Регистрация: 11.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

И ещё бывает так - вы насрали ошибками при безуспешной попытке залиться через скрипт А, а потом чисто залились через скрипт Б.

Но администратор, грепнув логи по вашему айпишнику, увидит и чистую заливку через скрипт Б, и ваш шелл.
Поэтому крупные ресурсы лучше не оставлять "на завтра", а по возможности закрепляться сразу, и делать это так, чтобы не засветить бэкдоры в логах.

А ещё бывает так - залились, закрепились, ресурс отстоялся, вы вернулись через неделю, сунулись на шелл, а его нету, ну и вы сразу на запасной бэкдор. Слава богу он жив. Но опа - через 5 минут нет и его. И уязвимость закрыта.
А всё просто - греп по имени первого шелла даёт ваш айпишник, греп по вашему айпишнику указывает на резервный бэкдор. Поэтому, если какого-то из шеллов не оказалось, или закрыли уязвимость - айпишник и юзерагент выбрасываем в мусорку.
tipsy вне форума   Ответить с цитированием
Старый 23.09.2011, 13:47   #10
avenu
 
Аватар для avenu
 
Регистрация: 10.07.2010
Сообщений: 36
Репутация: 13
По умолчанию

помню на новостном ресе крупном скулю прям по ходу раскрутки прикрыли
у реса посещалка большая ? если да, то скорее всего, как сказал Jokester, это кластер
__________________
С утра и навсегда
avenu вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot